Kakao Pay, een dochteronderneming van het Koreaanse WhatsApp-analoog Kakao, heeft gegevens van meer dan 40 miljoen gebruikers overgedragen aan de Singaporese tak van het Chinese betalingsplatform Alipay, zonder toestemming van de gebruikers, zo maakte de Koreaanse financiële toezichthouder dinsdag bekend.

De Financial Supervisory Service (FSS) van het land concludeerde dat de gegevens illegaal waren gedeeld na een inspectie ter plaatse van de overzeese betalingsafdeling van Kakao Pay tussen mei en juli van dit jaar. Onder de gedeelde persoonlijke gegevens bevonden zich Kakao Account ID, mobiele telefoonnummer, e-mailadres, Kakao Pay-abonnementsgeschiedenis en transacties.

Kakao Pay ontkent dat er sprake is van illegale activiteiten.

De samenwerking tussen Kakao Pay en Alipay is bedoeld om Koreaanse klanten de mogelijkheid te bieden om met Kakao Pay te betalen bij buitenlandse handelaren die Alipay accepteren.

Kakao Pay beweerde dus dat de gegevens werden gedeeld als onderdeel van een zakelijke samenwerking – dat het een service inhuurde om gegevens van Alipay te verwerken in plaats van klantgegevens aan een derde partij te verstrekken. Het betoogde dat dit betekende dat toestemming niet vereist was. Het beweerde ook dat alle informatie gecodeerd was – en daarom niet problematisch.

De toezichthouder reageerde door woensdag te verdubbelen en zijn standpunt te verduidelijken. Hij merkte op dat het contract tussen de twee bedrijven niet specificeerde dat Alipay gegevens verwerkte, en de algemene voorwaarden van Kakao vermeldden niet dat het een gegevensverwerkingscontractant zou gebruiken.

Een dergelijke gegevensverwerker mag zelf geen waarde uit de gegevens halen om er winst mee te maken. En instanties die de rol van verwerker op zich nemen, moeten worden gemeld bij de FSS, zo stelde de toezichthouder. De toezichthouder gaf aan dat de enorme hoeveelheid gegevens volgens hem financieel lucratief zou kunnen zijn.

Delen zonder toestemming is in strijd met de Credit Information Use and Protection Act van het land, volgens de FSS – maar deze zaak is met name schandalig omdat de informatie vanuit Korea naar Singapore werd verzonden. Om gegevens over de grenzen heen te delen, moest Kakao nog strengere toestemmingsprocessen ondergaan.

FSS betoogde ook dat het delen van zoveel data niet nodig was om betalingen in het buitenland via een partner mogelijk te maken. De enige benodigde data om betalingen te voltooien was order- en betalingsinformatie.

Het dochterbedrijf van Kakao stelde zich op het standpunt dat er extra informatie nodig was om te berekenen of er sprake was van ontoereikende fondsen (NSF), zodat Alipay Apple Payment Services kon bemiddelen en gebruikersinformatie kon koppelen aan Apple ID’s.

De FSS haalde op zijn beurt de zorg aan dat Kakao Pay en Alipay kredietinformatie van alle klanten namen, niet alleen de situationeel toepasselijke. Het versturen van NSF-informatie, terwijl Alipay alleen gebruikers aan Apple ID’s hoefde te koppelen, leek een beetje overdreven.

Bovendien was volgens de toezichthouder het beleid om zoveel data te delen in de loop van de tijd veranderd. “Kakao Pay heeft Alipay niet voorzien van de kredietinformatie van buitenlandse betalingsklanten aan het begin van de samenwerking met Alipay”, aldus het.

En wat betreft die encryptie? Kakao Pay gebruikte het meest voorkomende encryptieprogramma op de markt, zei de toezichthouder. Het was eenvoudig, voerde geen willekeurige factor in en de Koreaanse fintech veranderde nooit het wachtwoord.

De toezichthouder is van plan een grondig juridisch onderzoek uit te voeren en zal inspecties uitvoeren naar soortgelijke gevallen van misbruik van gegevens, vermoedelijk bij andere entiteiten.

Ant Group, het moederbedrijf van Alipay, is de op één na grootste aandeelhouder van Kakao Pay. Ant Group is een dochteronderneming van de Chinese techgigant Alibaba Group en opereert als een onafhankelijk bedrijf.

Volgens lokale media hebben insiders uit de sector hun bezorgdheid geuit dat Chinese bedrijven de gestolen Kakao Pay-gegevens zouden kunnen gebruiken voor marketingdoeleinden of om hun strategie te bepalen bij het concurreren op de Koreaanse markt.

De Kakao Group heeft een zware week. De aandelen van Kakao Pay daalden vanaf een al recordlaagtepunt na het nieuws over het datalek.

En nog maar vorige donderdag werd Kakao’s miljardair-oprichter, Kim Beom-su (ook bekend als Brian Kim), aangeklaagd op beschuldiging van beursmanipulatie. Kim heeft de beschuldigingen ontkend. ®